שיפור אבטחת API Token
-
אולי כדאי לעשות שרק ה IP שיצר את הטוקן יוכל להשתמש בו?
@שמואל -
@Liy זה רעיון עצום!
השאלה היא למה שלא תשמור את הטוקן בשרת או בסשן במקום להגיש אותו ללקוח -
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy זה רעיון עצום!
השאלה היא למה שלא תשמור את הטוקן בשרת או בסשן במקום להגיש אותו ללקוחשאם מישהו יירט לך את התעבורה הוא לא יוכל להשתמש בטוקן...
-
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
-
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
הסשן למעשה הוא רק קוד גישה למידע שנמצא בתיקיית הסשנים אצלך בשרת
-
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
הסשן למעשה הוא רק קוד גישה למידע שנמצא בתיקיית הסשנים אצלך בשרת
לא מעוניין ששום טוקן של אף לקוח ישב אצלי בשרת!
לא לוקח אחריות על דברים כאלה. -
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
הסשן למעשה הוא רק קוד גישה למידע שנמצא בתיקיית הסשנים אצלך בשרת
לא מעוניין ששום טוקן של אף לקוח ישב אצלי בשרת!
לא לוקח אחריות על דברים כאלה.אז אל תשתמש בסשן
-
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
הסשן למעשה הוא רק קוד גישה למידע שנמצא בתיקיית הסשנים אצלך בשרת
לא מעוניין ששום טוקן של אף לקוח ישב אצלי בשרת!
לא לוקח אחריות על דברים כאלה.אז אל תשתמש בסשן
אני נכון להיום מאחסן טוקנים ב
sessionStorageשל הלקוח בדפדפן. -
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
הסשן למעשה הוא רק קוד גישה למידע שנמצא בתיקיית הסשנים אצלך בשרת
לא מעוניין ששום טוקן של אף לקוח ישב אצלי בשרת!
לא לוקח אחריות על דברים כאלה.אז אל תשתמש בסשן
אני נכון להיום מאחסן טוקנים ב
sessionStorageשל הלקוח בדפדפן.ב-JS זה אכן נשמר על הדפדפן כמו עוגיות
-
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
@Liy אמר בשיפור אבטחת API Token:
@שואל-ברצינות אמר בשיפור אבטחת API Token:
השאלה היא למה שלא תשמור את הטוקן בשרת
אגב, זה מוריד את האבטחה של הלקוח שאתה שומר אצלך, אני חושב שטוקנים כאלה חייבים להשאר אצל הלקוח (בסשן).
הסשן למעשה הוא רק קוד גישה למידע שנמצא בתיקיית הסשנים אצלך בשרת
לא מעוניין ששום טוקן של אף לקוח ישב אצלי בשרת!
לא לוקח אחריות על דברים כאלה.אז אל תשתמש בסשן
אני נכון להיום מאחסן טוקנים ב
sessionStorageשל הלקוח בדפדפן.ב-JS זה אכן נשמר על הדפדפן כמו עוגיות
וזה בטוח.
כל הענין ששאלתי זה בגלל ששולחים לפעמים בקשות ב GET ויכול לשבת מישהו על הרשת שלך ולקבל את ה URL ששלחת ושם נמצא הטוקן! והוא יכול לבצע מה שהוא רוצה במערכת...
לכן אני שולח ב POST אבל בכ״ז אני חושב שכדאי לבצע את זה.